研究者は、グループの迅速な戦術転換とターゲットの絞り込みが検知を複雑にし、行動ベースの防御が必要だと警告している。
Google Cloudの脅威インテリジェンスグループ(GTIG)によると、ロシア政府支援のハッカーが偽の「私はロボットではありません」CAPTCHAページを使い、新種のスパイマルウェアを配布している。これは、長年西側政府やシンクタンク、メディア組織を標的としてきたColdRiverグループによる戦術の新たな進化を示している。
このグループは、Star Blizzard、UNC4057、Callistoとも呼ばれ、以前露呈したLostKeysマルウェアを、新たなツール群(NOROBOT、YESROBOT、MAYBEROBOT)に置き換えている。
これらのプログラムは、多段階の配布チェーンや暗号化されたペイロードを用いることで検知を回避できる。Googleによれば、この転換は今年初めに同社がLostKeysの技術的詳細を公開した数日後に起きたという。
ColdRiverの最新キャンペーンは、「ClickFix」と呼ばれるソーシャルエンジニアリング手法を使い、被害者にCAPTCHA認証手順を装った悪意のあるコードを実行させるよう仕向けている。
「NOROBOTおよびその前段階の感染チェーンは絶えず進化しており、最初は展開成功率を高めるため簡略化され、その後は暗号鍵を分割することで複雑さを再導入した」とGTIGは述べている。「より複雑な配布チェーンへの回帰は、キャンペーンの追跡を困難にしている。この絶え間ない開発は、高価値標的に対する情報収集を継続するため、配布メカニズムの検知回避に努めていることを示している。」
この手法は、国家支援型の作戦において、心理的操作とステルス性の高いモジュール型マルウェアを組み合わせて企業防御を回避する傾向が強まっていることを示している。
「ColdRiverが露呈したインフラから偽CAPTCHAのような新たな配布手法へ迅速に切り替えたことは、彼らの能力の高さを示している」とAkshat Tyagi(HFS Researchアソシエイトプラクティスリーダー)は述べた。「彼らは運用面で非常に機敏で、実質的に数週間でインフラを切り替え、配布メカニズムを書き換え、新たなペイロードを展開した。資金やリソースも豊富なチームのようだ。モジュール型アーキテクチャを持ち、コンポーネントの差し替えが可能で、グローバルなエンジニアリング人材にもアクセスしているのだろう。」
調査結果の詳細
Googleによれば、新たなマルウェアファミリーは2025年5月から9月にかけて活発に開発されており、攻撃者は検知回避のためツールを繰り返し改良している。アップデートの速さは、ColdRiverが公に露呈した直後でも即座にツールセットを再構築できる能力を示している。
最初期のNOROBOTサンプルは、復号鍵を複数のコンポーネントに分割し、特定の順序で再結合しないと最終ペイロードを復号できない暗号方式を用いていた。
YESROBOTはGoogleのレポートによると、すべてのコマンドが有効なPythonである必要がある最小限のPythonバックドアであり、ファイルのダウンロードやドキュメント取得といった基本機能の実装が煩雑になるという。後期のNOROBOTビルドは大幅に簡略化され、観測されたケースでは1つのファイルを取得し、ログオンスクリプトをインストールして永続化を確立した。
「NOROBOTのバリアント間で行われた具体的な変更は、高価値標的に対する情報収集を継続しつつ、検知システムを回避しようとするグループの執拗な努力を浮き彫りにしている」とレポートは述べている。
進化する戦術と戦略
アナリストによれば、ColdRiverは長年認証情報の窃取やメールアカウント侵害に注力してきたが、現在はユーザーに悪意のあるコードを実行させる多段階侵入へとシフトしている。
CAPTCHA認証画面を模倣したClickFixページを使うことで、グループはメールのセキュリティフィルターを回避し、マルウェアを被害者のデバイスに直接配布でき、感染の可能性を高めている。
「この段階では、エンドユーザーが偽のCAPTCHAを見抜いて排除することは難しい。CAPTCHAは標準的なアクセスプロセスの一部だからだ」とサイバーセキュリティアナリストのSunil Varkeyは述べた。「唯一の選択肢は、EDRやNDRなどのツールを使って行動変化やLiving-off-the-landテレメトリ、異常な活動を監視することだ。組織は特定のシナリオでユーザーやホストがどう振る舞うかを理解し、逸脱を監視する必要がある。そのためには強固なベースラインを持ち、それを徹底することが求められる。」
単純なフィッシングから多段階・双方向型攻撃への転換は、ColdRiverがユーザーのサイバー意識向上に適応していることを示している。従来の誘導手法は疑わしいリンクを警戒する人が増えたため効果が薄れているが、CAPTCHAページは依然として親しみやすく安全に感じられ、その信頼をColdRiverは悪用している。
「戦術的には、ColdRiverが運用セキュリティ(OPSEC)とステルス性に注力していることを示している」とSanjaya Kumar(SureShield CEO)は述べた。「マルウェアは暗号化通信や解析回避技術を使い、数か月間検知されずに長期アクセスを維持する。標的は依然としてNGO、反体制派、政策アドバイザー、西側当局者など高価値だが、CAPTCHA手法はシンクタンクや学術界など、素早い認証情報窃取がスパイ活動につながるソフトターゲットにも拡大している。」
防御側にとっては、従来の二要素認証を超え、行動やコンテキストを考慮した監視でステルス性の高いユーザー支援型侵入を見抜く必要性を強調している。
企業向け防御策
攻撃者は特定の組織や個人を標的とするため、サーバーサイドフィルタリングを使って選ばれた被害者だけにマルウェアを配布でき、大規模な検知が困難になるとアナリストは指摘する。さらに、グローバルなセキュリティベンダーが新たな攻撃に対するシグネチャをまだ開発・優先していない場合、検知はさらに難しくなる。
「防御側は、これは市販のマルウェアを使う単純なフィッシング集団ではないことを十分認識すべきだ」とVarkeyは述べた。「国家と関係がある、あるいは国家が支援するグループで、豊富なリソースと新たなツールや配布手法への迅速な切り替え能力を持っている。防御側はIOC(インジケーター・オブ・コンプロマイズ)だけに頼ることはできず、組織は高価値資産を守るためにセキュリティ体制を大幅に強化する必要があるかもしれない。」
Kumarはさらに、効果的な防御には、異常なPowerShell実行やコマンド&コントロールサーバーへの不審なネットワークコール、ファイルレスマルウェアのパターンなどを監視するツールを使った多層的かつ行動重視のアプローチが必要だと述べた。
セキュリティチームは通常の活動のベースラインを確立し、海外IPからの予期しないログイン試行や急速なデータ流出など逸脱があればアラートを出すべきだ。「ゼロトラストアーキテクチャの構築に注力し、最小権限アクセスやマイクロセグメンテーションを徹底して横展開を制限すべきだ」とKumarは述べた。「エンドポイントが悪用される前にパッチを適用する継続的な脆弱性管理、インタラクティブなフィッシング(例:CAPTCHA攻撃の模擬訓練)に関するセキュリティ意識向上トレーニングで成功率を下げること。インシデントレスポンスも強化し、多段階攻撃を模擬して封じ込めをテストする。積極的なサイバーハイジーン(定期的なパッチ適用、エンドポイント強化、脅威ハンティング)が不可欠だ。」
